iPhone手机 “逻辑采集”知多少

admin 2022年7月23日20:23:14取证分析iPhone手机 “逻辑采集”知多少已关闭评论4 views2960字阅读9分52秒阅读模式
图片
图片

本文由石冀编译,陈裕铭、Roe校对,转载请注明。

提到移动设备,尤其是苹果系列,"逻辑采集"可能是最常被滥用的术语。如果你是移动取证从业者,你确定你了解"逻辑采集"是什么以及如何正确使用?这篇文章让我们来谈谈这个问题。

你可能已经看到了描述和比较移动设备的各种采集方法的图表,包括从芯片分离提取 "chip-off"(甚至显微镜读取"micro-read")到人工提取的各种方法。

逻辑采集是最简单、最可靠、最兼容的取证方法,适用于99%的苹果移动设备。与其他方法相比,这种方法不能获取最大的数据量,但由于其兼容性和简单性,它仍然是最受欢迎的取证方法。有一些小技巧可以帮助你以最有效的方式利用这种取证方法。

chip-off,即芯片取证。芯片取证是一种先进的数字数据提取和分析技术,涉及从设备中物理移除闪存芯片,然后使用专用设备获取原始数据。

micro-read 是指利用高倍显微镜查看门的物理状态从而读取数据的取证方法。

图片

逻辑采集是什么?

提到苹果移动设备(iPhone、iPad)和一些其他设备(Apple Watch、Apple TV),"逻辑"几乎总是"备份"的同义词,但有一些需要注意区分的点。

首先,只有iPhone和iPad做完整的备份,Apple Watch、Apple TV这些设备是不做完整的备份的。

第二,逻辑采集的对象不仅仅是备份,还包括通过AFC(Apple File Conduit,苹果文件系统管道)协议提供的媒体文件,以及诊断日志和共享文件。下面我们详细说明一下。

图片

媒体文件

照片、视频和音乐等媒体文件的存储方式与大多数其他文件略有不同。即使备份文件有密码保护,这些文件也可以很容易地被提取出来。除了文件,还有存储在特殊系统数据库中的元数据,包括这些文件是如何编辑的、属于什么相册、使用内置引擎识别的对象和人物、缩略图、EXIF数据(包括地理位置和时间戳)等信息。有时你甚至可以得到一些关于已删除文件的信息,但这不在本文的讨论范围之内。

图片

诊断性日志

不要忽视设备日志!这些日志可以用一些取证软件轻松提取出来,而且它们包含很多时间线数据。

图片

共享文件

一些应用程序(如Microsoft Office,一些密码管理器等)允许在整个系统中共享他们的数据;这些应用没有被沙盒化,因此可以从外部访问这些应用的数据。与媒体文件一样,即使备份有密码保护,你也可以使用适当的软件获得这些数据的访问权。

图片

连接和配对设备

你可能会在一开始就遇到第一个障碍,即将设备连接到电脑上,由于USB限制,将设备连接到计算机可能不会立即通过USB(Lightning)接口建立连接。我们有一篇关于USB限制模式的文章[4],可以帮助你突破这个限制。请注意,只要用密码或生物识别技术解锁设备,就可以关闭限制并重新启用USB连接。

除基本信息外,访问设备上的任何数据都需要将设备与电脑配对,这需要在设备上输入正确的密码。目前没有切实可行的解决办法,因为系统从连接到锁定文件[5]是非常迅速的。

图片

密码保护的备份

旧的备份(包括本地和云端)可能是你全部的取证对象。这些备份的价值往往在于后来在设备本身被删除的证据。

备份密码作为设备的一个属性,一旦设置了密码,就不能创建另一个没有密码的备份。无论把设备连接到哪台电脑上,所有的备份都将以相同的密码创建,除非你知道密码,否则无法修改。

从iOS 10.2开始,你可以针对iTunes的备份密码进行爆破,但速度很慢(在CPU上每秒只能尝试几个密码,在GPU上能达到每秒上百个),即使是相对较短的密码也无法在短时间内破解。

从iOS 11开始,苹果引入了一种通过重置设备设置来删除备份密码的方法(需要输入设备密码)。听起来很简单?是的,但因为设备密码也被重置了,备份中的数据也会受到影响:

• 一些用户数据被删除(如苹果钱包的交易记录)

• Microsoft Exchange 中的邮件被删除(这里指下载到设备上的邮件)

• 一些需要设置密码的应用程序的数据丢失

• 一些Keychain(钥匙串)中的记录被删除

• iCloud令牌被删除

• 一些应用程序和在线服务的登录数据被丢失

最后一项可能需要一些解释。如果你的设备登录了iCloud,并且该设备设置了密码(而且你知道该密码),在大多数情况下,您可以在不知道旧密码的情况下更改iCloud密码。这使得你能够完全访问所有的iCloud数据:存储在iCloud驱动器上的文件、iCloud备份、iCloud同步的数据(包括"端到端加密"的数据)。但一旦设备设置(以及设备密码)被重置,就无法再访问iCloud数据。

与直觉相反,如果未设置备份密码,则应自行设置。与未加密的备份相比,受密码保护的备份包含更多的数据。这包括Keychain、健康数据、通话记录、Safari浏览器浏览历史等。

有时你可能无法重置设备设置,阻止重置的可能原因如下:

• MDM(Mobile Device Management,移动设备管理)配置文件

• 锁屏密码

锁屏密码总是只有数字,但却很难被破解。在几次失败尝试后,iOS会强制执行一小时的延迟,而后才能输入另一个密码。最坏的情况下需要一万个小时,而且这个过程无法加速。

图片

Keychain

iOS的Keychain保存用户密码和系统认证数据,如钥匙和令牌。Keychain包含在加密和非加密的备份中。如果备份是在没有密码的情况下生成的,那么该备份中的Keychain将用设备特定的硬件密钥进行加密,该密钥无法通过逻辑采集进行访问。如果你设置了一个已知的备份密码,你将能够提取许多Keychain中的记录。

请注意,无论密码是什么,你都不能通过逻辑采集访问一些钥匙和令牌。还要注意,底层提取方法允许提取整个Keychain以及原始备份密码。

图片

iCloud备份

iCloud备份包含的数据与本地("iTunes")备份几乎相同。苹果不提供任何下载iCloud备份的方法,因此用户只能恢复新设备。下载iCloud备份需要用户的Apple ID和密码以及对二步验证(受信任的设备或SIM卡)的访问。

除了备份,iCloud中通常还存储有大量的同步数据(包括所谓的"端到端加密"数据),以及文件和文档。只要有适当的凭证(设备密码或macOS系统密码),你就可以访问所有这些数据。

然而,这通常不被称为"逻辑采集",而是属于"云采集"的范畴。

结语

认真学习提取方法的工作原理,不要盲目相信任何取证工具。在移动取证方面没有捷径,即使是最好的软件也不可能一键帮你完成这项工作。

原文链接:

https://blog.elcomsoft.com/2022/06/logical-acquisition-not-as-simple-as-it-sounds/

参考链接:

https://www.elcomsoft.com/eift.html

https://blog.elcomsoft.com/2020/05/iphone-usb-restricted-mode-workaround/

https://blog.elcomsoft.com/2018/01/ios-11-3-adds-expiry-date-to-lockdown-pairing-records/

https://www.elcomsoft.com/eppb.html

图片
图片

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月23日20:23:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  iPhone手机 “逻辑采集”知多少 http://cn-sec.com/archives/1194930.html